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Netfilter Iptables 


vi El [>] | Back to Home 


Home I O 2003 by Antonio Batista 
Ton = <antonio O CintraBatista.net> 
a etivos Estratégia 


:: Dados do Aut 
e Onde buscar este documento na Internet 


Visão Geral 
:: Scripts com o Iptables http://www.CintraBatista.net/docs/sent/gter/ 
:: Malformed Packets 
ARP Poisoning 


:: ARP Poisoning default gateway = : 
ARP RR ae maa Palestra apresentada na Reunião do GTS, ocorrida em 
E g Ip $ ji Z a 
conjunto com a 15º Reunião do GTER. 


(a partir de 2º feira, 14/04/2003) 


Denial of Service 

:: TCP SYN FLOOD: características DATA: Quarta-feira, 09/abril/2003, as 11:00 
:: Syn Flood: Resultados 

:: Syn Flood: reações mais comuns LOCAL: 

:: Syn Flood: reação viável atualmente 

:: Syn Flood Netfilter Centro de Convenções Frei Caneca 


. . . 1 o 
:: Denial of Service (DoS): outros tipos Rua Frei Caneca; 963p 47- Andar 
São Paulo - SP 
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Objetivos Estratégia 
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Back to Home 


Home 


Apresentação 

:: Objetivos 
Estratégia 

:: Dados do Autor 


Visão Geral 


:: Scripts com o 


Iptables 
:: Malformed Packets 


ARP Poisoning 

:: ARP Poisoning 
default gateway 

:: ARP Poisoning 
Iptables 

Denial of Service 

:: TCP SYN FLOOD: 
caracteristicas 


:: Syn Flood: 
Resultados 


:: Syn Flood: reações 
mais comuns 


:: Syn Flood: reação 
viável atualmente 


:: Syn Flood Netfilter 
:: Denial of Service 


(DoS): outros tipos 


Objetivos 


e Disponibilizar conteúdo para servir de referências 
futuras 


e Apresentar soluções criativas com o uso de Netfilter 
Iptables 


e Explicar o possível dentro da limitação de tempo: 50 
minutos 


Estratégia 


Devido à limitação de tempo, optou-se por enriquecer/diversificar o conteúdo, 
consequentemente sacrificando-se as explicações mais detalhadas, embora 
procurando limitar um pouco o conteúdo para não haver um desequilíbrio 
exagerado. 
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Dados do Autor 


r LI [>] | Back to Home | 


Home Antonio Augusto de Cintra Batista 


A t a e e e 
E ees ae <antonio @ CintraBatista.net> 
E etivos Estratégia 


:: Dados do Aut : : 
SEPE EE Engenheiro Eletrônico 


Visão Geral 


:: Scripts com o Iptables Security Officer — Diveo 
:: Malformed Packets 


ARP Poisoning Proprietário — IPtrip — Fabricação de Roteadores de Borda (BGP, OSPF) 


:: ARP Poisoning default 
gateway 
:: ARP Poisoning Iptables 


Denial of Service 

:: TCP SYN FLOOD: 
caracteristicas 

:: Syn Flood: Resultados 
:: Syn Flood: reações 
mais comuns 


:: Syn Flood: reação 
viável atualmente 


:: Syn Flood Netfilter 
:: Denial of Service 


(DoS): outros tipos 


Fundador em 1987 — Sodalys — Fabricação desde 1991 de aparelhos para o 
tratamento da hiperhidrose (excesso de suor). 
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Scripts com Iptables 


vii l] 


Back to Home 


Home 


Apresentação 
:: Objetivos 
Estratégia 

:: Dados do 
Autor 


Visão Geral 
:: Scripts com 


o Iptables 
:: Malformed 


Packets 


ARP 
Poisoning 

:: ARP 
Poisoning 
default 
gateway 

:: ARP 
Poisoning 
Iptables 
Denial of 
Service 

:: TCP SYN 
FLOOD: 
características 
:: Syn Flood: 
Resultados 

:: Syn Flood: 
reações mais 
comuns 

:: Syn Flood: 
reação viável 
atualmente 

:: Syn Flood 
Netfilter 

:: Denial of 
Service (DoS): 
outros tipos 


Exemplo de um script com recursos diversos 


#!/bin/bash 


(C) by Antonio Batista 
Licensed as a free software under GNU GPL version 2 


de de dE dE 


# Iptables programs directory 
PRGDIR="/usr/local/iptables/bin" 
# Iptables data directory 
DATDIR="/usr/local/iptables/data" 


Load appropriate modules. 
modprobe ip_tables 
modprobe ip_conntrack 
modprobe ip_conntrack_ftp 


dE dE dE dE 


# to protect against arp poisoning 
Gw="10.1.1.1" 

MAC="00:02:4B:CB:11:00" 

/usr/sbin/arp -s $GW SMAC 2>/dev/null 


These lines are here in case rules are already in place and the script 
is ever rerun on the fly. 

We want to remove all rules and pre-exisiting user defined chains and 
zero the counters before we implement new rules. 

iptables -F 

iptables -X 

iptables -Z 


de de dE dE 


iptables —P INPUT ACCEPT 
iptables -P FORWARD ACCEPT 
iptables -P OUTPUT ACCEPT 


# A custom chain to log and drop. 

# We must remember that the LOG target is a 

# "non-terminating target", i.e., a match on this rule does 
# not stop the rules traversal, and the next target (DROP) 
# results evaluated as well. 

iptables -N dropcounter 

iptables -A dropcounter —j RETURN 


iptables -N logdrop 

iptables -A logdrop -m limit --limit 10/s ——limit-burst 4 -j LOG \ 
——log-prefix "[SYN FLOOD] " 

iptables -A logdrop —j dropcounter 

iptables -A logdrop —j DROP 
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iptables -N logmalform 

iptables -A logmalform -m limit ——limit 10/s ——limit-burst 4 -j LOG N 
——log-prefix "[MALFORMED] " 

iptables —A logmalform —j DROP 


iptables -N malf-group 

HSPRGDIR/malf-group.sh 

iptables -A malf-group -p tcp —-tcp-flags SYN,FIN SYN,FIN -j logmalform 
iptables -A malf-group -p tcp —-tcp-flags SYN,RST SYN,RST -j logmalform 
iptables -A malf-group -p tcp --tcp-flags FIN,RST FIN,RS -j logmalform 
iptables -A malf-group -j RETURN 


HHH HEH À 
# INPUT chain groups 

HEH HEH HH RA HEH FE E RA FE HE TE FE FE HE TE EE HE E EH EE HE E E E E E HEH H E 
iptables -N in-best-group 
#$PRGDIR/in-best-group.sh 

iptables -A in-best-group -j RETURN 


# iptables -N in-pre-ids-group 
# $PRGDIR/in-pre-ids-group.sh 
# iptables -A in-pre-ids-group -j RETURN 


iptables -N in-malf-group 
#$PRGDIR/in-malf-group.sh 

iptables -A in-malf-group -j malf-group 
iptables -A in-malf-group -j RETURN 


iptables -N in-bad-group 
#$PRGDIR/in-bad-group.sh 
iptables -A in-bad-group -j RETURN 


iptables -N in-good-group 
#SPRGDIR/in-good-group.sh 
iptables -A in-good-group -j RETURN 


iptables -N in-deny-group 
#SPRGDIR/in-deny-group.sh 
iptables -A in-deny-group -j RETURN 


iptables -N in-accept-group 
HSPRGDIR/in-accept-group.sh 
iptables -A in-accept-group -j RETURN 


iptables -N in-dsg-group 
HSPRGDIR/in-dsg-group.sh 
iptables -A in-dsg-group -j RETURN 


iptables -N in-customer-group 
#SPRGDIR/in-customer-group.sh 
iptables -A in-customer-group —j RETURN 


# iptables -N in-ids-group 
# SPRGDIR/in-ids-group.sh 
# iptables -A in-ids-group -j RETURN 


iptables -N in-fw-group 


SPRGDIR/in-fw-group.sh 
iptables -A in-fw-group —j RETURN 
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HH HH HEH HE HEH FE E RA FE HE TE FE FE HE TE FE FE HE E TE FE RA HE E E E E E HEH E 
# FORWARD chain groups 

HEHE FE FE HE TE FE FE HE AE FE FE FE E TE FE FE HE TE FE FE HE TE FE FE HE E TE FE FE E TE FE E E E E E E E E H H E 
# iptables -N fwd-best-group 

# SPRGDIR/fwd-best-group.sh 

# iptables -A fwd-best-group -j RETURN 


# iptables -N fwd-malf-group 
#$PRGDIR/fwd-malf-group.sh 

# iptables -A fwd-malf-group -j malf-group 
# iptables -A fwd-malf-group -j RETURN 


# iptables -N fwd-bad-group 


# SPRGDIR/fwd-bad-group.sh 

# iptables -A fwd-bad-group -j RETURN 
# iptables -N fwd-good-group 

# $PRGDIR/fwd-good-group.sh 

# iptables -A fwd-good-group -j RETURN 


# iptables -N fwd-deny-group 
#$PRGDIR/fwd-deny-group.sh 
# iptables -A fwd-deny-group -j RETURN 


# iptables -N fwd-accept-group 
#$PRGDIR/fwd-accept-group.sh 
# iptables -A fwd-accept-group -j RETURN 


# iptables -N fwd-dsg-group 
HSPRGDIR/fwd-accept-group.sh 
# iptables —A fwd-dsg-group —j RETURN 


# iptables -N fwd-customer-group 
# SPRGDIR/fwd-customer-group.sh 
iptables -A fwd-customer-group —j RETURN 


+ 


# iptables -N fwd-fw-group 
#SPRGDIR/fwd-fw-group.sh 
# iptables —A fwd-fw-group —j RETURN 


FEFE FE HE TE HEH HE FE HE HEH HEHE FE HE HE EE EE HE TE FE FE EE HE E E E E E E H H E 
# OUTPUT chain groups 

FEFE FE HE TE HE HE AE FE FE HE AE FE FE FE E TE FE FE HE TE FE FE HE EE HE E TE FE FE EE FE E E E E E E E E H H E 
iptables -N out-malf-group 
SPRGDIR/out-malf-group.sh 

iptables -A out-malf-group -j malf-group 
iptables -A out-malf-group -j RETURN 


iptables -N out-good-group 
SPRGDIR/out-good-group.sh 
iptables -A out-good-group -j RETURN 


iptables -N out-fw-group 
SPRGDIR/out-fw-group.sh 
iptables -A out-fw-group —j RETURN 


## SYN-FLOOD 
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# 

iptables -N syn-flood 

iptables -A syn-flood -m limit --limit 50/s ——limit-burst 4 -j RETURN 
iptables -A syn-flood —j logdrop 


HH HH HEH RA HEH FE E RA HEH FE FE HE EE RR RA RA HE E E RA E E H E E 
# INPUT 

HEHE HEHE FE FE HE HEH FE E RA FE HE HE EE EE HE TE FE FE EE HE E E E E E HEH A 
# The conventional chains 

iptables -A INPUT -i lo -j ACCEPT 

# Best Group 
iptables -A INPUT -j in-best-group 

# Pre-IDS Group 

# iptables -A INPUT -j in-pre-ids-group 
# Malformed 


iptables -A INPUT -j in-malf-group 

# Bad VIP 

iptables -A INPUT -j in-bad-group 

# Good VIP 

iptables -A INPUT -j in-good-group 

# Deny Group 

iptables -A INPUT -j in-deny-group 

# Accept Group 

iptables -A INPUT -j in-accept-group 

# Deny Services Group 

iptables -A INPUT -j in-dsg-group 

# Customer Group 

iptables -A INPUT -j in-customer-group 

# Syn Flood 

iptables -A INPUT -p tcp --syn -j syn-flood 

# Firewall 

iptables -A INPUT -j in-fw-group 

# DEFAULT DROP 

iptables -A INPUT -m limit --limit 10/s --limit-burst 4 -j LOG \ 
——log-prefix "[INPUT FW] " 

iptables -A INPUT -j DROP 


# IDS Group 
# iptables -A INPUT -j in-ids-group 
# iptables -A INPUT -j DROP 


FE FE HE AE AE E FE FE E AE AE FE FE FE AE AE E FE FE FE AE AE E FE FE FE AE AE FE FE FE AE AE AE RR AE E FE FE FE EE FE H 


# FORWARD 

FEFE TE AE HE FE E FE HE TE FE TE FE FE FE HE FE FE TE FE TE FE E FE HE TE AE TE FE E RR 
# Best VIP 

# iptables -A FORWARD -j fwd-best-group 

# Malformed 

# iptables -A FORWARD -j fwd-malf-group 

# Bad VIP 

# iptables -A FORWARD -j fwd-bad-group 

# Good VIP 

# iptables -A FORWARD -j fwd-good-group 

# Deny Group 

# iptables -A FORWARD -j fwd-deny-group 

# Accept Group 

# iptables -A FORWARD -j fwd-accept-group 

# Deny Services Group 

# iptables -A FORWARD -j fwd-dsg-group 

# Customer VIP 

# iptables -A FORWARD -j fwd-customer-group 
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# Syn Flood 

# iptables -A FORWARD -p tcp ——syn -j syn-flood 

# Firewall 

# iptables -A FORWARD -j fwd-fw-group 

# DEFAULT ACCEPT 

#iptables -A FORWARD -m limit ——limit 10/s ——limit-burst 4 -j LOG \ 
# --log-prefix "[FORWARD FW] " 

# iptables -A FORWARD —j ACCEPT 


HEHE HEH HE HH HEH FE E TE FE HEH FE FE HE EE HE RA EE HE RR E E E E HE 
# OUTPUT 

HE HH HEH FE FE HE HEH FE E RA FE HE RR RA EE HEH RA HE E E E E E E E HE 
iptables -A OUTPUT -o lo -j ACCEPT 

# Malformed 
iptables -A OUTPUT -j out-malf-group 
# Good VIP 
iptables -A OUTPUT -j out-good-group 

# Deny Group 

# Accept Group 

# Deny Services Group 

# SynFlood 

iptables -A OUTPUT -p tcp --syn -j syn-flood 
# Firewall 
iptables -A OUTPUT -j out-fw-group 
# DEFAULT ACCEPT 
iptables -A OUTPUT -j ACCEPT 


# THE END 
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Pacotes fora do padrão 


vi LI [>] Back to Home 


Home 


Exemplo de regras 


Apresentação 
:: Objetivos 
Estratégia iptables -N logmalform 
:: Dados do iptables -A logmalform -m limit --limit 10/s --limit-burst 4 -j LOG À 
Autor ——log-prefix "[MALFORMED] " 

iptables —A logmalform —j DROP 


Visão Geral 


:: Scripts com iptables -N malf-group 

o Iptables HSPRGDIR/malf-group.sh 

-- Malformed iptables -A malf-group -p tcp —-tcp-flags SYN,FIN SYN,FIN -j logmalform 
EE ADE iptables malf-group -p tcp —-tcp-flags SYN,RST SYN,RST -j logmalform 
iptables malf-group -p tcp —-tcp-flags FIN,RST FIN,RST -j logmalform 
ARP iptables malf-group -j RETURN 


Packets 


Poisoning 

:: ARP 
Poisoning 
default 
gateway 

:: ARP 
Poisoning 
Iptables 
Denial of 
Service 

1: TCP SYN 
FLOOD: 
características 
:: Syn Flood: 
Resultados 

:: Syn Flood: 
reações mais 
comuns 

:: Syn Flood: 
reação viável 
atualmente 

:: Syn Flood 
Netfilter 

:: Denial of 
Service (DoS): 
outros tipos 
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ARP Poisoning default gateway 


r LI [>] | Back to Home | 


Home 


g Entradas estáticas na tabela 
Apresentação 
:: Objetivos Estratégia ARP 


:: Dados do Autor 


Visão Geral 
GW="10.1.1.1" 


:: Scripts com o Iptables MAC="00:02:4B:CB:11:00" 
:: Malformed Packets /usr/sbin/arp -s $GW SMAC 2>/dev/null 


ARP Poisoning 


:: ARP Poisoning default gateway 
Rasa Pode-se fazer o mesmo com outros gateways ou 
:: ARP Poisoning Iptables i a i De 
máquinas mais críticas 


Denial of Service 
:: TCP SYN FLOOD: características Consultando a tabela ARP: 


:: Syn Flood: Resultados 

:: Syn Flood: reacGes mais comuns arp —na 
:: Syn Flood: reação viável atualmente 

:: Syn Flood Netfilter 

:: Denial of Service (DoS): outros tipos 
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ARP Poisoning Iptables 


vi LI [>] Back to Home 


Home 
" Zan e 5 

Apresentação EXEMPLO de "programação" de firewall camada 2, ou roteador: 
:: Objetivos 
Estratési # ARP Poisoning 
patient iptables -A FORWARD —j arp-fw-group 
:: Dados do # Best VIP 
Autor iptables -A FORWARD -j fwd-best-group 

DL # Malformed 
Visào Geral iptables -A FORWARD —j fwd-malf-group 
:: Scripts com | 4 Bad VIP 
o Iptables iptables -A FORWARD -j fwd-bad-group 
:: Malformed # Good VIP 
Packets iptables -A FORWARD -j fwd-good-group 
——— # Deny Group 
ARP iptables -A FORWARD -j fwd-deny-group 
Poisoning # Accept Group l 
- ARP iptables -A FORWARD -j fwd-accept-group 
Be # Deny Services Group 
Poisoning iptables -A FORWARD -j fwd-dsg-group 
default # Customer VIP 
gateway iptables -A FORWARD -j fwd-customer-group 
- ARP # Syn Flood 
hone iptables -A FORWARD -p tcp ——syn -j syn-flood 
nulo # Firewall 
Iptables iptables -A FORWARD -j fwd-fw-group 
Denial of # DEFAULT DROP 

8 iptables -A FORWARD -m limit ——limit 10/s --limit-burst 4 -j LOG \ 
Service ——log-prefix "[FORWARD FW] " 
1: TCP SYN iptables —A FORWARD -j DROP 
FLOOD: 
características 
:: Syn Flood: Chain arp-fw-group em detalhes: 
Resultados 
:: Syn Flood: iptables -N arp-fw-group 
reações mais iptables -A arp-fw-group -p all -m mac --mac-source ! 00:11:22:33:44:55 \ 
COMDNS -s 10.1.2.3 -j DROP 
-Sen roai iptables -A arp-fw-group -p all -s 10.1.2.3 -j RETURN 
"yn tood: iptables -A arp-fw-group -p all -m mac --mac-source ! 66:77:88:99:AA:BB \ 
reação viável -s 10.1.2.4 -j DROP 
atualmente iptables -A arp-fw-group -p all -s 10.1.2.4 -j RETURN 
:: Syn Flood iptables -A arp-fw-group -p all -s 10.1.2.0/23 -j DROP 
Netfilter + a restante por o 
: iptables -A arp-fw-group -p all - 

:: Denial of P E dE oe a 
Service (DoS): 
outros tipos A ferramenta está aí... para colocar em produção de forma escalável, pode-se criar uma 


política e implantá-la tecnicamente fazendo scripts que consultam a tabela do arpwatch: 


e /var/lib/arpwatch/ethO.dat 
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e /var/lib/arpwatch/eth 1 .dat 


Pode-se utilizar esta chain arp—fw—group — que criamos — nas seguintes chains 
pré-definidas: 


e PREROUTING, para pacotes que acabaram de entrar nas 
tabelas nat ou mangle. 

e INPUT, para pacotes que acabaram de entrar nas tabelas 
filter ou mangle. 

e FORWARD, no caso de firewall camada 2 (firewall em 
bridge), ou firewall operando como roteador. Tabelas: filter 
ou mangle. 
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TCP SYN FLOOD: características 


Op | 


Back to Home | 


Home 

Apresentação 

:: Objetivos Estratégia 
:: Dados do Autor 


Visão Geral 


:: Scripts com o Iptables 
:: Malformed Packets 


ARP Poisoning 

:: ARP Poisoning default 
gateway 

:: ARP Poisoning Iptables 


Denial of Service 

:: TCP SYN FLOOD: 
caracteristicas 

:: Syn Flood: Resultados 
:: Syn Flood: reações mais 
comuns 


:: Syn Flood: reação viável 
atualmente 

:: Syn Flood Netfilter 

:: Denial of Service (DoS): outros 


tipos 


Características típicas: 


e 30 a 100 K pacotes/segundo (um portscan gera 
em torno de 0.5 a 1.0 K pacotes/segundo). 


e Pacotes tipicamente de 40 bytes. 


e Endereço de origem falsificado sem repetição 
(para dificultar identificação da origem). 


e A quase totalidade das Operadoras não têm 
processos bem definidos para identificar a 
interface mais externa de sua rede por onde 
entra o Dos. 


e Endereço de destino bem determinado. 


e Um laptop PHI 600 MHz é capaz de gerar 17 
K pacotes/segundo com falsificação 
randômica do endereço IP de origem. 


e Quase 100% dos ataques Dos são originados 
do Exterior, e acontecem durante o nosso 
horário comercial (o intuito é causar mais 
impacto, à noite ou final—de—semana um 
cliente de um ISP costuma nem perceber que 
foi atacado). 


e O que a Imprensa costuma divulgar como 
DDoS pode não passar de DoS proveniente de 
uma única máquina. 
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e Sintoma 1: ataque SYN flood à porta de http 
de um cliente brasileiro? Causa provável: 
alguém no Exterior está muito nervoso porque 
recebeu um SPAM anunciando o tal website, e 
o ISP não respondeu ou não tomou atitude. 
Vide newsgroup de SPAM, spews.org e 
spamhaus.org. 


e Sintoma 2: o ataque passou a se estender para 
outros servidores "inocentes"? Causa 
provável: o SPAM é muito insistente e o tal 
carinha que o recebeu está hiper nervoso. 
Solução: a mais barata pode ser cancelar o 
contrato com o seu cliente que hospeda o site 
do spammer’? 


Area de contetido atualizada em Wednesday, 2003-April-09 10:52:00 GMT-3 (São Paulo, Brazil, South 


America) 


TCP SYN FLOOD: caracteristicas 15 


GTER15: Exemplos de Aplicações do GNU/Linux Netfilter Iptables 


Syn Flood: Resultados 


iL DI 


Back to Home | 


Home 

Apresentacao 

:: Objetivos Estratégia 
:: Dados do Autor 


Visão Geral 


:: Scripts com o Iptables 
:: Malformed Packets 


ARP Poisoning 


:: ARP Poisoning default gateway 
:: ARP Poisoning Iptables 


Denial of Service 

:: TCP SYN FLOOD: 
caracteristicas 

:: Syn Flood: Resultados 
:: Syn Flood: reações mais 
comuns 


:: Syn Flood: reação viável 
atualmente 

:: Syn Flood Netfilter 

:: Denial of Service (DoS): outros 


tipos 


Syn Flood: Resultados 


e 2 a 3 K pacotes/segundo já são suficientes 


para causar DoS em todos os firevvalls 
conhecidos (nem precisa dos 30 a 100 R 
pkts/s). 


Firewall está em DoS => toda a estrutura de 
rede abaixo dele está em Dos, e não somente 
o endereço IP destinatário do ataque. 


O recurso que os firewalls e equipamentos de 
rede costumam chamar de Syn Flood 
Defender não passa de um portscan 
defender, e ainda faz com que estes 
equipamentos entrem em DoS mais 
rapidamente. Portscan é tipicamente originado 
por IP de origem verdadeiro (não "spoofado"). 


Após alguns segundos sob TCP Syn Flood, 
todos os firewalls conhecidos precisam de um 
boot manual porque não conseguem retornar 
sozinhos à sua condição normal, após cessado 
o ataque. 


Se colocarmos o OpenBSD, FreeBSD e Linux 
configurados em bridge (2 interfaces ethernet 
em série com o tráfego IP), os 2 primeiros 
atingem 100% de CPU no inicio de um DoS 
do tipo Syn Flood. O Linux mantém o 
consumo médio em torno de 15%. 
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e Mesmo tendo baixo consumo de CPU durante 
o ataque, os recursos internos do Linux se 
tornam escassos e ocorre significativa 
degradação (mas não indisponibilidade). Há 
tempo para uma deteção e uma reação. 
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Syn Flood: reações mais comuns 


AOP | 


Back to Home 


Home 


Apresentação 
:: Objetivos 
Estratégia 

:: Dados do 
Autor 


Visão Geral 


:: Scripts com o 


Iptables 
:: Malformed 


Packets 


ARP Poisoning 
:: ARP 
Poisoning 
default gateway 
: ARP 
Poisoning 
Iptables 
Denial of 
Service 

3 TCP SYN 
FLOOD: 
características 
:: Syn Flood: 
Resultados 

:: Syn Flood: 
reações mais 
comuns 

:: Syn Flood: 
reação viável 
atualmente 

:: Syn Flood 
Netfilter 

:: Denial of 
Service (DoS): 
outros tipos 


e Identificação do endereço IP atacado. 


e Bloqueio rápido deste IP atacado (garantir a 
disponibilidade do restante da rede). 


e Identificação da interface de rede intra- AS mais externa, 
e AS adjacente. 


e Solicitar que o AS adjacente identifique a sua interface de 
rede intra- AS mais externa, e assim sucessivamente até 
chegar na origem. Esta abordagem é hoje muito teórica e 
não funciona na prática com a grande maioria dos AS's. 


e Alternativa viável que sobrou: identificar e bloquear o 
endereço IP atacado, o mais rapidamente possível. 


e Uma alternativa esperada para futuro (breve?): ICMP 
traceback 
http://www Jetf.org/internet-drafts/draft-ietf-itrace—04.txt 
Meu sentimento a respeito: falta algoritmo de garantia de 
autenticidade da origem destes pacotes (e não é por falta 
de tecnologia para isto). 
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Syn Flood: reação viável atualmente 


Op 


Back to Home | 


Home 


Apresentação 
:: Objetivos Estratégia 
:: Dados do Autor 


Visão Geral 


:: Scripts com o Iptables 
:: Malformed Packets 


ARP Poisoning 

:: ARP Poisoning default 
gateway 

:: ARP Poisoning Iptables 


Denial of Service 

:: TCP SYN FLOOD: 
caracteristicas 

:: Syn Flood: Resultados 
:: Syn Flood: reações mais 
comuns 


:: Syn Flood: reação viável 
atualmente 

:: Syn Flood Netfilter 

:: Denial of Service (DoS): 
outros tipos 


Requer a solucao de um PROBLEMA 
PRINCIPAL 


e Deteção automática e rápida do 
endereço IP atacado. 
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Syn Flood Netfilter 


x LI [>] | Back to Home | 


Home 


Regras de iptables 


Apresentação 
:: Objetivos 
Estratégia 

:: Dados do e Chains criadas para a deteção: 
Autor 


Visão Geral ## SYN-FLOOD 
# 


:: Scripts com o iptables -N syn-flood 


Iptables iptables -A syn-flood -m limit --limit 500/s --limit-burst 4 -j RETURN 
:: Malformed iptables -A syn-flood -j logdrop 


Packets 


ARP Poisoning iptables -Ñ logdtöp 

:: ARP iptables -A logdrop -m limit --limit 10/s --limit-burst 4 -j LOG \ 
Poisoning ——log-prefix "[SYN FLOOD] " 

default gateway iptables -A logdrop —j DROP 

2: ARP 

Poisoning 

Iptables e Exemplo de como elas podem ser chamadas: 

Denial of 

Service Customer chain 

-: TCP SYN iptables -A FORWARD —j fwd-customer-group 


I Syn Flood 
E . tables -A FORWARD -p tcp --syn -j syn-flood 
características Firewall chain 


:: Syn Flood: iptables -A FORWARD -j fwd-fw-group 
Resultados DEFAULT DROP 
:: Syn Flood: iptables -A FORWARD -m limit ——limit 10/s ——limit-burst 4 -j LOG \ 


sesctes mal ——log-prefix "[FORWARD FW] " 
BE Mals iptables —A FORWARD —j DROP 


comuns 
:: Syn Flood: 
reação viável 
atualmente 

:: Syn Flood 
Netfilter 

:: Denial of 
Service (DoS): 
outros tipos 
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Denial of Service (DoS): outros tipos 


r LI [>] | Back to Home | 


Home 


Apresentação e Seja o protocolo ICMP, UDP, OSPF, IP-in-IP, 


:: Objetivos Estratégia 
:: Dados do Autor SCTP, Exa 


Visão Geral 

aa i Z Z As 
Scripts com o Iptables | e A abordagem é análoga, com pequenas adaptações 

(configurações) para atender necessidades 


:: Malformed Packets 


ARP Poisoning À 
:: ARP Poisoning default particular es. 
gateway 

:: ARP Poisoning Iptables 


Denial of Service 

:: TCP SYN FLOOD: 
caracteristicas 

:: Syn Flood: Resultados 
:: Syn Flood: reações 
mais comuns 


:: Syn Flood: reação 
viável atualmente 


:: Syn Flood Netfilter 
:: Denial of Service 


(DoS): outros tipos 
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